Los 'hackers' al servicio del Gobierno español colocaron un 'software' espía en instituciones cubanas

Madrid/Casi cualquier persona con conexión a internet en Cuba estuvo expuesta al espionaje de Careto, un grupo de hackers del Gobierno español que operó en una treintena de países entre 2007 y 2014, según una investigación. Aunque la existencia del malware se conocía desde que hace once años lo desveló un informe de la firma de ciberseguridad Kaspersky, no ha sido hasta este mayo cuando al menos tres expertos han apuntado directamente a las autoridades del país europeo como responsables de la red. 

"No había ninguna duda al respecto, al menos ninguna [duda] razonable", ha contado uno de ellos a la revista estadounidense especializada TechCrunch. Los expertos de Kaspersky detectaron un software espía que atacó, entre esas fechas, al menos a mil IP de 31 países, entre los que el Gobierno de la Isla fue una prioridad. 

Los expertos sostuvieron en aquel momento que el interés estaba muy posiblemente ligado a la presencia de hasta 15 miembros del grupo terrorista ETA en el país, conclusión a la que llegaron al ver el perfil de personas atacadas por el virus, vinculadas al Gobierno de Cuba y a una institución en concreto, que nunca fue revelada. 

El interés estaba muy posiblemente ligado a la presencia de hasta 15 miembros del grupo terrorista ETA en la Isla

La investigación comenzó, precisamente, con un miembro del Gobierno cubano que resultó infectado y al que denominan “paciente cero”, que permitió descubrir que los hackers de Careto atacaron la red y sistemas gubernamentales específicos en Cuba, según otro ex empleado de Kaspersky. Esto demostraba “el interés de los atacantes”, afirmaron. 

“Internamente sabíamos quién lo hizo”, dijo una de las fuentes, añadiendo que tenían “alta certeza” de que se trataba del Gobierno español. Los otros dos consultados avalan la misma tesis y afirman que una de las reglas era ser cuidadoso a la hora de airear los vínculos de algunos gobiernos occidentales en operaciones de este tipo. “No se difundió porque creo que no querían revelar la identidad de un Gobierno como ese”, añadió un cuarto ex empleado de la empresa. “En Kaspersky teníamos una estricta política de no atribución. A veces se tensaba, pero nunca se rompía”.

El software, de tipo phishing, fue calificado como "una de las amenazas más avanzadas del momento". Era muy sigiloso y tenía capacidad de robar conversaciones y datos “altamente sensibles” una vez que infectaba al equipo, al que llegaba con correos que suplantaban a medios de comunicación muy conocidos, como El País, El Mundo o Público, así como videos de recetas y sobre temas políticos. 

Cuando un usuario hacía clic en uno de los enlaces infectados, un código con capacidad de pirateo se instalaba en el equipo

Uno de los ex empleados que ha hablado ahora con TechCrunch dijo que, entre esos vínculos, algunos remitían a noticias de ETA o sobre asuntos propios del País Vasco, aunque el informe de 2014 no lo incluyó. Cuando un usuario hacía clic en uno de los enlaces infectados, un código con capacidad de pirateo se instalaba en el equipo a la vez que se redirigía a una página web legítima para no despertar sospechas, según consta en el informe. 

Ese código contenía varias palabras en castellano, entre ellas la citada ‘careto’ –coloquialmente empleada como mala cara–, aunque también otra que sirvió para establecer exactamente la ubicación de la red. Se trataba de la contracción "Caguen1aMar, que sustituye a "me cago en la mar", exclusiva de España y no utilizada en otros países hispanohablantes.

Cuba no fue el único país objetivo. De hecho, otros de los espiados confirmaron aún más la conexión con España, entre ellos Gibraltar –colonia británica ubicada en el sur de la península Ibérica–, Brasil, Marruecos y algunos objetivos dentro del propio país. 

Kaspersky, preguntada ahora, se desliga de la identificación. “No realizamos ninguna atribución formal”, dijo un portavoz a TechCrunch. Mientras, el Gobierno cubano no ha respondido a las preguntas del medio, como tampoco el Ministerio de Defensa español. La época investigada afecta a los Gobiernos de José Luis Rodríguez Zapatero (Psoe) y Mariano Rajoy (PP), aunque Careto volvió a operar después de 2014, presuntamente desligada ya de las autoridades estatales.

Careto detuvo todas las operaciones al conocerse el informe, llegando a borrar sus registros, algo “poco común”, según advierten los expertos

En África, el malware del grupo se encontró en Argelia, Marruecos y Libia; en Europa, atacó en Francia, España y Reino Unido. En Latinoamérica, además de las ya citadas, tampoco se libraron Colombia y Venezuela. Los afectados eran diversos y dispersos en todos los países, salvo en Gibraltar, Marruecos, Suiza y Cuba, donde el objetivo era una institución gubernamental en concreto. 

Además de atacar a instituciones del Estado, embajadas y legaciones diplomáticas, Kaspersky señaló intrusiones de Careto –desde 2007– en empresas energéticas, instituciones y activistas; presentes en equipos con Windows, Mac y Linux, así como código capaz de atacar dispositivos Android y iPhone. El malware podía interceptar el tráfico de internet, las conversaciones de Skype, las claves de cifrado (PGP) y las configuraciones de VPN, realizar capturas de pantalla y obtener toda la información de los dispositivos Nokia.

Careto detuvo todas las operaciones al conocerse el informe, llegando a borrar sus registros, algo “poco común”, según advierten los expertos. El grupo entró directo en la élite de los ciberespías. "No se puede hacer eso si no se está preparado", dijo a TechCrunch una de las fuentes. "Destruyeron todo, toda la infraestructura, de forma sistemática y rápida. ¡Bum! Simplemente desapareció". 

Pero no se fue del todo. Kaspersky volvió a encontrarse con Careto en 2019, 2022 y 2024 en una organización que ya había sido espiada en 2014 en Latinoamérica y otra, esta vez nueva, en un país de África central. Ninguna de ellas ha sido identificada en este caso. Las tácticas, técnicas y procedimientos (TTP) son, afirman, extremadamente similares a las que se usaron una década atrás, sin embargo, las investigaciones más recientes apuntan a que ya no está vinculada al Gobierno de España, y advierten de que los errores cometidos recientemente son pequeños pero fatales. “¿Qué entidad fue? ¿Quién desarrolló el malware? Desde una perspectiva técnica, es imposible saberlo”, señalaron dos expertos.

En esta ocasión los hackers irrumpieron en el servidor de correo electrónico de una víctima latinoamericana, cuyo nombre no se ha revelado, y luego instalaron el malware, robando todo tipo de datos. En el caso del africano, se usó otro tipo de códigos que capturan pantallas. A pesar de haber sido detectados y cometer más errores que en su anterior fase, los analistas los consideran muy buenos, por delante de Grupo Lazarus (Corea del Norte) y APT41 (China), o al nivel de Equation Group y Lamberts (EE UU) o Rebelión en la Granja (Francia). 

Careto es, para ellos, una "amenaza pequeña, pero que supera en complejidad a esas grandes". "Sus ataques son una obra maestra".